Главная страница » Индикаторы компрометации
0
12 часов
Индикаторы компрометации

APT-группа Geo Likho атакует российские и белорусские организации через фишинг с VBE-скриптами: три ступени заражения и кража данных

APT

С июля 2024 года киберпреступная группа Geo Likho целенаправленно атакует промышленные предприятия, государственные учреждения и образовательные организации в России и Беларуси. Основной интерес злоумышленников сосредоточен на авиационной отрасли и судоходных компаниях. За это время им удалось скомпрометировать около 260 жертв в России, примерно 20 - в Беларуси, а также единичные случаи заражения зафиксированы в Германии, Сербии и Гонконге. Главная цель группы - кибершпионаж, то есть долговременное закрепление в инфраструктуре жертвы для хищения конфиденциальных данных.

Описание

Метод первоначального проникновения неизменен: злоумышленники рассылают целевые фишинговые письма со ссылками на вредоносные VBE-скрипты (закодированные скрипты Visual Basic). Это необычный для современных APT-групп (продвинутых постоянных угроз) приём, который служит своеобразной "визитной карточкой" Geo Likho. Каждое письмо маскируется под официальный документ, а ссылка ведёт на архив, замаскированный под RAR-файл. Внутри архива - единственный файл с расширением .vbe, который является загрузчиком. Примечательно, что для каждой жертвы создаётся уникальный экземпляр вредоносного ПО - идентификатор жертвы жёстко зашит в коде скрипта. Это затрудняет обнаружение атаки типовыми сигнатурными методами.

После того как пользователь запускает VBE-скрипт, тот связывается с командным центром (C2) группы. В ходе недавней кампании (июль 2025 - февраль 2026 года) исследователи из "Лаборатории Касперского" обнаружили несколько сотен активных вредоносных доменов, используемых Geo Likho. Ответ сервера содержит 15 элементов, разделённых запятыми: среди них WMI-запросы для определения версии операционной системы, антивирусного решения, а также команды для загрузки второго компонента атаки. Если подключение по HTTPS не удаётся, скрипт повторяет запрос через HTTP.

Второй этап заражения - исполняемый файл, написанный на языке Delphi (например, reader.exe или images.exe). Этот модуль одновременно отображает поддельный документ-обманку, чтобы усыпить бдительность пользователя, и начинает сбор данных. Он собирает системные журналы (setupapi.dev.log, setupapi.setup.log), листинг установленных программ, а также офисные документы (doc, docx, pdf, xls, xlsx, ppt, pptx, eml, zip, 7z, rar). Кроме того, вредонос периодически делает снимки экрана и передаёт их на C2. Чтобы не пересылать одни и те же файлы многократно, он вычисляет 4-байтный хэш FNV-1a от первых 40 000 байт каждого файла и сохраняет его в папке %TEMP% в файле "6o". Если хэш уже есть, файл не отправляется повторно.

Третий компонент, написанный на C++ (например, ruby5.3.exe), расширяет список собираемых данных: добавляет изображения (jpeg, jpg), электронные таблицы (csv), презентации (odp), текстовые документы (rtf, txt). Он также способен получать от C2 команды для загрузки и исполнения дополнительных модулей, удаления хэш-файла, задания нового командного сервера или обхода механизма контроля учётных записей (UAC-bypass) через утилиту computerdefaults.exe. Всего команды передаются по протоколу HTTP с использованием уникального идентификатора жертвы, причём на каждом этапе заражения к идентификатору добавляется цифра, указывающая на номер этапа. Канал связи периодически проверяется через запросы с четырёхсимвольными случайными строками, а сервер отвечает текущей датой и временем.

Последствия успешной атаки крайне серьёзны: злоумышленники получают не только внутреннюю документацию, но и данные об установленном ПО, драйверах, версиях ОС - всё это позволяет им глубже внедриться в сеть жертвы. Учитывая, что Geo Likho нацелена на предприятия авиационной и судоходной отраслей, утечка технической документации, проектных чертежей или логистических планов может нанести значительный экономический и репутационный ущерб. Группа также стремится закрепиться в инфраструктуре надолго, что даёт ей возможность вести постоянное наблюдение за жертвой.

Атрибуция этой кампании к Geo Likho подтверждается сходством кода начальных VBE-загрузчиков, функций импланта первого этапа и расшифрованных строк с ранее описанным шпионским ПО Batavia, которое атаковало российские промышленные предприятия с марта 2025 года. Таким образом, операторы Geo Likho последовательно совершенствуют свои инструменты, но сохраняют базовые техники: целевой фишинг, уникальные образцы для каждой жертвы и трёхступенчатую архитектуру заражения.

Индикаторы компрометации

Domains

  • altai-krai.com
  • badgodago.com
  • belgorod-energo.net
  • email-file.info
  • engels-prom.email
  • findabearq.com
  • getfilesfaster.com
  • ggrheicuye.com
  • justovertroo.com
  • kaliningrad-gorod.net
  • khabarovsk-krai.com
  • kursk-network.net
  • kursk-prom.com
  • magnitogorsk-mash.net
  • oblast-ru.com
  • picture-boxing.com
  • ru-exchange.com
  • ryazan-gorod.com
  • saratov-net.com
  • spb-energo.net
  • stavropol-gorod.net
  • stavropol-net.com
  • storage-center24.com
  • surgutaero.net
  • sverdlovsk-info.email
  • techsurgut.com
  • tver-oboron.net
  • tver-prom.com
  • vizioilence.com

MD5

  • 0ce01054c73ec7fea934bb7f9bef4758
  • 1053456499330dde618f5465a2683c6a
  • 12542673cdc4200860b8749db1d3afb0
  • 140e2672a823d342784104c696d4a4d2
  • 27395227f8de2553d3c76c95dbd8e5b0
  • 33f107316a0a6d06f4b2a0d4de57ea58
  • 3fcb27b2598a4902e82ef3203ce7170c
  • 455d7dc141b5b178fd9d065a2cc93bf1
  • 482a64f79700721b691f68a76a3c48c9
  • 4d5a9f9b369c52350b8785071e893b45
  • 4fa07738f86cd96649e04c8603d1c3ba
  • 5024a3a66aba7ec493f6f5f0282dbc35
  • 5269065f5f7b851a49d649b176208e8e
  • 53fdfd366bf7c3e0f5f18f21444e12dd
  • 55f4e7513e11cd845e5f1ae4aeec440b
  • 593a6e47516622e281bce338688145a9
  • 5984144d61349a93506d728be4aa51ca
  • 5acb8168c0eb50e14641634746bff66d
  • 5cfa142d1b912f31c9f761ddefb3c288
  • 60c4842c4f147b3cc3ae3e8c44c4b075
  • 6a72fce31316719980ce71f3cf883d34
  • 6b327c638bdef8518f30d8337c94f9ba
  • 6bfea0f106901f3c92c661b741aac1cf
  • 6d25b76075ee59158daece787dd5fef0
  • 6f0c7d4716e7bf7f6f12ce00b0b5ea97
  • 708760caf65f562f1e97a45fa582c146
  • 72170132b1e36a356ddaeb55bca1ce80
  • 722c420a028d9e761ed161a41acaf2e9
  • 7397f93e7b3d51015950574bd27f1b8f
  • 7987d8f63c8cb0ea0b0ebc6ba006678e
  • 7a5f07544468e137373c288f9d41b57e
  • 7ab444073231de6f2180d62382845430
  • 7ab920719b0c8bb278b15f289756e168
  • 7b5a5cd2f6dc88af9ab807b4ffa9cd31
  • 7f623ee2f04a7cb4c1933d270c20d969
  • 81c495f7680679b756db570ca5a5e75c
  • 8252e43ecceac3d36fef97ad106998d9
  • 8a6bbad530ae4142b93ebcb457636b13
  • 8e0f1f5d5a13e4dc5f0be7e6c1880dc6
  • 9127c40774d8149216cdb579a3e4e32b
  • 9299e7ac2d5d4902bb04be201b41b2ac
  • 92dda4e82a2105391d7a556a4c3c4a94
  • 931f07b47d0cb657b023e6f645466e14
  • 948bb3ca165d386c7040e0acdbcc29d2
  • 94e4619b30696045701fce110d1877df
  • 95370681f1aa47b6601767f931c4898d
  • 9c6281cca7e5b4cd79b5e3fa9ef05dfb
  • 9e1f5d642494e9e0fa1870f4623f86b6
  • 9e82ad20a2263398580ccda2623c15bf
  • 9f541c8f8616ba69d930bdd2a0849c11
  • 9f7c5a32461d7bc75b8f1472aa61f57e
  • 9fe76fadb0fda6b0eabd48dff9bd5d9a
  • a075c0de2619b0ba7f0b9f176dd07e0e
  • a195387c0612e1e7ca70b8bbd9258c5a
  • a7f2ce3795dd82c39ad2955ca535aebb
  • abc1e9a91716bee395a8a8013118668d
  • b45a7f18a6083f24820df427f3271c47
  • b89981f3d955f510aaf6822df2716cea
  • b8d5c7e42bc77d296cd168de9cd38a6d
  • bc2f3f864632b7499496d8c897c41aca
  • cd8faf5137bb50b1ba627e2b52802c91
  • cdfc1378236f8febd721cba31229cefa
  • d6a90bcbb8e9f557f702c33f306d5072
  • ea2a5bdc6dfae8966900d47d9eb8a975
Комментарии: 0
Похожие записи